¿Cuál es la ruta para la sección de registro NT AUTHORITY \ SYSTEM?

8

Si abro el registro con la cuenta SYSTEM en Windows usando la herramienta PSExec de SysInternals :

psexec -i -s regedit

y cambio una entrada, por ejemplo, aquí:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

... Supongo que NTUSER.DATse modificará el archivo correspondiente .

¿Cuál es la ruta a este NTUSER.DATarchivo?

windows  windows-registry 
Sopalajo de Arrierez
fuente
Creo que es c: \ windows \ system32 \ config \ systemprofile.
LawrenceC
¿Qué versión de Windows?
Digo reinstalar a Mónica el
Bueno, @ultrasawblade, de hecho hay un ntuser.datarchivo allí. Estoy tratando de examinarlo desde la herramienta de Linux chntpwpara verificar qué es, pero el árbol clave \Software\Microsoft` only contains a tree named CTF . There is nothing about the rest of the HKEY_CURRENT_USER`.
Sopalajo de Arrierez
1
@Twisty, estoy probando este asunto con Windows XP SP3 y Windows 7. Creo que la mayoría de las versiones de Windows se comportan de la misma manera.
Sopalajo de Arrierez
No es verdad. Creo que Windows 7 almacena las colmenas de registro LocalSystem y NetworkService en 'C: \ Windows \ ServiceProfiles \ LocalService \ ntuser.dat' y C: \ Windows \ ServiceProfiles \ NetworkService \ ntuser.dat 'respectivamente. Estas carpetas no existen en XP.
Digo reinstalar a Mónica el

Respuestas:

3

Contrariamente a la intuición común, el ntuser.datarchivo en la carpeta de perfil de usuario de LocalSystem ( \Windows\System32\config\systemprofile) no es el origen de las HKEY_CURRENT_USERaplicaciones que se ejecutan como SYSTEM. Por lo que puedo decir, en realidad no se usa para nada, y contiene muy poca información.

En realidad, la HKCU para aplicaciones que se ejecutan como SYSTEM está .DEFAULTbajo HKEY_USERS. (Me referiré a otro concepto erróneo común: .DEFAULT no es la plantilla para los nuevos perfiles de usuario , ntuser.daten sí \Users\Default) .DEFAULTse almacena en el disco en un archivo llamado \Windows\System32\config\DEFAULT. Consulte el artículo de MSDN sobre archivos de respaldo del registro .

También es interesante: la lista de los archivos de respaldo para las diversas jerarquías del Registro, incluido .DEFAULT, se puede encontrar en HKLM\SYSTEM\CurrentControlSet\Control\hivelist.

Ben N
fuente
¿Se espera que esto sea válido para cualquier versión de Windows?
Sopalajo de Arrierez
@SopalajodeArrierez Esencialmente sí, desde Windows NT en adelante, con la sustitución apropiada de \WinNTfor \Windowsy \Documents and Settingsfor \Usersen Windows XP. Lectura adicional en TechNet
Ben N
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.